A Kinsta sempre trabalhou para proteger a segurança da nossa plataforma de hospedagem e dos sites dos nossos clientes. Seja protegendo as informações da conta, fornecendo ferramentas para evitar ataques DDoS externos, detectando e limpando malware ou alertando os proprietários de sites sobre vulnerabilidades nos plugins de WordPress, a segurança das informações é um dos nossos pontos fortes.

Mas as empresas de hospedagem podem facilmente fazer essa afirmação. Já provar isso é um desafio.

A melhor maneira de comprovar tais afirmações é desenvolver práticas e políticas de segurança da informação que atendam a padrões amplamente reconhecidos e, em seguida, ter a conformidade com esses padrões confirmada por especialistas independentes.

Foi assim que a Kinsta obteve, em 2023, a conformidade com os critérios de serviços confiáveis do SOC 2 (System and Organization Controls 2), desenvolvidos pela Association of International Certified Professional Accountants (AICPA).

Em seguida, em agosto de 2024, após completar um ano inteiro de monitoramento do SOC 2, recebemos a certificação de segurança de dados e controles de privacidade especificados pela International Standards Organization (ISO) e pela International Electrotechnical Commission (IEC).

Este artigo analisa a certificação ISO/IEC da Kinsta de acordo com a norma ISO 27001 e duas de suas extensões, ISO 27017 e ISO 27018.

O que é ISO 27001?

Erik Van Dijk, Diretor de TI da Kinsta, liderou o esforço de certificação ISO 27001 e disse que o framework é o “padrão ouro” em conformidade de segurança.

A ISO 27001 especifica os controles necessários para proteger a confidencialidade, a integridade e a disponibilidade das informações em uma organização. Veja o que isso significa:

  • Confidencialidade — Garantir que somente pessoas autorizadas possam acessar as informações.
  • Integridade — Assegurar que somente pessoas autorizadas possam alterar as informações.
  • Disponibilidade — Assegurar que as informações estejam acessíveis a pessoas autorizadas quando necessário.

Van Dijk disse que a ISO 27001 define os requisitos para os vários componentes de um Sistema de Gerenciamento de Segurança da Informação (ISMS, Information Security Management System). Mas esse sistema não é apenas hardware e software. Além desses controles tecnológicos, o ISMS inclui controles organizacionais, controles relacionados a pessoas, e controles físicos:

  • Controles organizacionais — Definir as regras a serem seguidas e o comportamento esperado dos usuários, equipamentos, software e sistemas.
  • Controles relacionados a pessoas — Fornecimento de conhecimento, educação, habilidades ou experiência às pessoas da organização para poderem realizar seus trabalhos com segurança.
  • Controles físicos — Recursos como cartões de acesso para centros de dados, câmeras de vigilância e sensores de detecção de intrusão.

O que são as normas ISO 27017 e 27018?

Van Dijk disse que a ISO 27017 e a 27018 são extensões certificáveis da ISO 27001 e são particularmente relevantes para a Kinsta, pois ambas se aplicam a ambientes de computação em nuvem.

A ISO 27017 prescreve controles de segurança e orientações de implementação para ambientes de computação em nuvem. Esses controles se aplicam a tarefas como:

  • Manuseio de ativos do cliente após o término do contrato.
  • Separação dos ambientes virtuais do cliente.
  • Monitoramento da atividade do cliente em um ambiente de computação em nuvem.

A ISO 27018 concentra-se na proteção de informações de identificação pessoal em ambientes de nuvem. Esses controles abordam questões como:

  • Transparência na comunicação da localização geográfica dos armazenamentos de dados do cliente.
  • Restrições ao uso de dados de clientes sem consentimento.
  • Métodos seguros para devolução, transferência e descarte seguro de informações pessoais.

Linha do tempo da certificação ISO da Kinsta

O ano que se seguiu à obtenção da conformidade com o SOC 2 foi agitado para a equipe de conformidade de segurança, especialmente para Van Dijk, que estava simultaneamente estudando e obtendo sua designação Certified Information Systems Security Professional (CISSP).

A designação inicial do SOC 2 em 2023 seguiu um período de auditoria de três meses e se aplicou ao serviço de confiança fundamental de segurança. Esse projeto se transformou em monitoramento contínuo com relatórios anuais e se expandiu para incorporar os critérios de disponibilidade e confidencialidade do SOC 2.

Enquanto isso, nosso trabalho com a ISO 27001 já estava em andamento. Van Dijk disse que sua extensa pesquisa sobre os requisitos da ISO 27001 começou por volta de novembro de 2023.

“A ISO 27001 é muito rica em documentação e processos”, disse ele. “Ela ainda contém uma série de controles técnicos, mas toda a premissa do framework é implementar um sistema de gestão de segurança da informação e suas políticas e procedimentos associados.”

Van Dijk disse que uma análise de lacunas sugeriu que o projeto SOC 2 já havia fornecido cerca de 40% do trabalho a ser feito para as certificações ISO. Assim, quando uma equipe de várias empresas se reuniu em dezembro de 2023, foi possível começar a carregar rapidamente as informações de status na Vanta, a plataforma escolhida para auxiliar na coleta de evidências.

A equipe criou 13 novas políticas de ISMS e aprimorou algumas políticas existentes desenvolvidas para o SOC 2. Em março de 2024, a equipe convocou a empresa de segurança em nuvem Rhymetec para uma auditoria interna que ajudou a determinar o trabalho que ainda era necessário.

Posteriormente, a BARR Advisory forneceu a auditoria independente que verificou a elegibilidade da Kinsta para as certificações ISO.

“Sempre recebemos elogios de nossos auditores sobre como estávamos organizados e preparados”, disse Van Dijk.

Os benefícios da certificação ISO 27001

A certificação ISO 27001 da Kinsta (e a conformidade com o SOC 2) destaca nosso compromisso com a segurança das informações. Continuaremos a conquistar a confiança dos clientes à medida que nos submetermos a auditorias regulares para confirmar a conformidade e a eficácia contínuas de nosso ISMS e manter nosso status de certificação.

Muitos clientes em potencial nos dizem que seu provedor de hospedagem deve ter a certificação ISO 27001. Estamos orgulhosos de poder atender a essa necessidade e damos as boas-vindas a eles na Kinsta.

Nossas certificações ISO atestam nossa postura de segurança para proteger os ativos dos clientes e reduzir os riscos usando as práticas recomendadas.

Resumo

A Kinsta tem um forte histórico de proteção dos dados dos clientes. As novas certificações ISO confirmam e expandem as salvaguardas validadas por nosso trabalho para nos tornarmos compatíveis com o SOC 2.

Nós nos dedicamos a proteger os sites dos clientes. Nossos procedimentos de segurança da informação com certificação ISO refletem nosso investimento em conquistar a confiança do cliente.

Visite o Trust Center da Kinsta para obter informações sobre os esforços contínuos de conformidade da empresa.

Você ainda não é um cliente? Então comece com o pé direito — são e salvo — escolhendo nossa infraestrutura segura. Encontre agora a melhor solução de hospedagem web para sua empresa!

Steve Bonisteel Kinsta

Steve Bonisteel é um Editor Técnico na Kinsta que começou sua carreira de escritor como jornalista impresso, cobrindo ambulâncias e caminhões de bombeiros. Ele tem coberto tecnologia relacionada à Internet desde o final dos anos 1990.